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Proced§ de protection d*un algorithme 

crypto graphi que. 

La presents invention concerne un procede de pro- 
tection d'un algorithme cryptographique . 

ARRIERE PLAN DE L' INVENTION 
On sait que la fagon la plus efficace de conser- 
5 ver la conf identialite lors d'une transmission de donnees 
est de chiffrer les donnees au moyen d'un algorithme 
cryptographique . 

A cet effet on connait des dispositifs comportant 
une unite de traitement programmable associes a un fi- 

10 chier de configuration comportant un algorithme crypto- 
graphique personnalise • L * entite realisant 1 * algorithme 
cryptographique personnalise est generalement differente 
de 1' entity realisant le dispositif utilisant 1' algo- 
rithme cryptographique. Afin de prot^ger 1' algorithme 

15 cryptographique pendant le transport depuis son lieu 
d' Elaboration jusqu'a son chargement dans le dispositif 
auquel il est destine, on procdde habitue llement k un 
chiffrement de 1' algorithme lui-meme en utilisant une cle 
de protection. Sous cette forme chiffree, 1' algorithme 

20 cryptographique ne peut etre execute par le dispositif 
auquel il est destine. Lors du chargement de 1' algorithme 
cryptographique dans le dispositif auquel il est destine, 
un dechif f rement est done effectue dans 1' unite de trai- 
tement en utilisant la cle de protection qui y a ete com- 

25 municjuee par le fabricant du dispositif et introduite par 
celui-ci dans 1 'unite de traitement. Le fabricant du dis- 
positif ayant acces a la cle de protection, il est pos- 
sible pour un fraudeur qui reussirait a obtenir d'une 
part 1' algorithme cryptographique chiffre et d* autre part 

3 0 la cle detenue par le fabricant du dispositif, d'effec- 
tuer un dechif f rement de 1* algorithme cryptographique lui 
permettant de reconstituer cet algorithme. En outre, 
apres son dechif f rement 1' algorithme n'est plus protege 
de sorte qu'il est absolument n^cessaire de disposer de 

35 moyens de securite particuliers pour proteger I'unitS de 
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traitement pendant 1 ' execution de 1 ' algorithme . 

OB JET DE L' INVENTION 
Un but de 1 * Invention est de proposer un procede 
de protection d'un algorithme cryptographicgpje y compris 
5 lors de son execution dans une unite de traitement sans 
qu^il soit necessaire de faire intervenir le fabricant de 
1' unite de traitement - 

BREVE DESCRIPTION DE L' INVENTION 
En vue de la realisation de ce but, on propose, 

10 selon 1« invention, un precede de protection d'un algo- 
rithme cryptographique decomposable sous forme de polyno- 
mes initiaux k au mo±ns deux variables et ayant un degr€ 
au moins egal a deux, le procede comportant les etapes de 
realiser des polyndmes combines, chacun obtenu k partir 

15 d*au moins deux polynomes initiaux, et de mettre en oeuvre 
les polynomes combines dans 1' unite de traitement. 

Ainsi, la corabinaison d'au moins deux polynomes 
initiaux ayant un degre au moins egal a deux, realise un 
polyn6me ayant un degre au moins ggal k quatre dont il 

20 est extremement diff±cile de retrouver les constituants 
en particulier lorsque le nombre de variables de ces po- 
lynomes est suffisamment important, L» algorithme ainsi 
transforme est done protege et peut done etre transmis 
avec un degre de securite satisf aisant . Par ailleurs, les 

25 polynomes combines sont direct ement executables au meme 
titre que les polyndmes initiaux. Aucune transformation 
n'est nScessaire lors de la configuration de 1' unite de 
traitement de sorte que 1» algorithme reste protege pen- 
dant son execution. 

30 Selon une version avantageuse de 1 ' invention, un 

effacement partiel de 1' unite de traitement, et de la me- 
moire contenant le fichier de configuration lorsque la 
configuration est presente, est provoque dans le "cas 
d'une intrusion dans le dispositif. Des 1 * instant ou 

35 quelques informations sont manquantes la difficulte de 
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reconstitution de 1 ' algorithme est considerablement aug- 
mentee de sorte qu'un effacement partiel seulement suffit 
a proteger 1 ' algori thme . 

Selon un autre aspect avantageux de 1 ' invention, 
le proc^de comporte en outre I'etape de combiner chaque 
polynome coinbin^ avec une fonction, et de combiner le po- 
lynome combine suivant avec une fonction inverse. Cette 
transformation complement aire augmente encore la diffi- 
culte de retrouver les polynomes initiaux sans toutefois 
nuire au caractere executable du polyn6me combing en rai- 
son de 1 ' elimination d'une fonction directe par la fonc- 
tion inverse correspondante lors du passage d'un polynome 
combine au polynome combine suivant . 

De preference, la fonction combinee a chaque po~ 
15 lynome combine est xxne fonction lineaire. Le degre du po- 
lynome combine reste alors inchange, de sorte que I'es- 
pace pris en memoir-e par le polynome combine reste lui- 
m§me inchang6 . 

DESCRIPTZON DETAILLEE DE L' INVENTION 
D'autres caoract^ristiques et avantages de 1 ' in- 
vention apparaitront k la lecture de la description qui 
suit d'lm mode de m±se en ceuvre particulier non limitatif 
de 1* invention en relation avec la figure unique ci- 
jointe qui est un diagramme schematique illustrant le 
25 precede selon 1' invention. 

En reference a la figure, le precede de protec- 
tion d'un algorithme cryptographique selon 1' invention 
est destine a etre mis en oeuvre dans un dispositif de 
chiffrement 1 compoartant de fagon connue en soi un boi- 
30 tier 2 dans lequel est dispos^e une memoire volatile 3 
destinee a contenir wi fichier de configuration et relive 
a une unite de trait ement 4 configurable par le fichier 
de configuration poiar effectuer un chiffrement de donnees 
introduites dans le dispositif, 
35 Egalement de fagon connue en soi, le dispositif 1 
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comporte un organs d ' ef f acement 5 relie a la memoire 3 et 
& I'unit^ de traitement 4, pour assurer en cas d' intru- 
sion un effacement au moins partiel des informations 
qu'elles contiennent. A cet effet la memoire et 1' unite 
5 de traitement 4 sont de pr^f^rence volatiles de sorte 
qu'une interruption m§me breve de 1 ' alimentation provoque 
un effacement partiel des informations contenues dans la 
memoire et/ou 1' unite de traitement. 

Selon 1 ' invention, 1 ' algorithme cryptographique .6 

10 qui est destine a etre introduit dans le fichier de con- 
figuration 3 est tout d'abord divise selon un procede 
connu en soi, selon des rondes representees par des poly- 
nomes initiaxix Pi, P2, P3, P4-../ Pi, Pi+i-./ Pr-i/ Pr, a plu- 
sieurs variables et ayant un degr6 au moins egal k deux. 

15 Les polyndmes initiaux sont determines en utilisant dif- 
ferentes cles (sauf repetition au hasard) , ou diff^rentes 
sous-cles d'une meme cle. Les cles ou les sous-cles peu- 
vent etre totalement integrees aux polynomes ou const i- 
tuer des variables supplementaires au sein des polynomes . 

2 0 Les polyTLomes initiaxix Pi sont ensuite combines, deux par 
deux dans le mode de mise en CEuvre illustre, selon une 
corabinaison math6matic[ue de fonctions, pour obtenir des 
polyndmes combines Qi = P2 o Pi, Q2 = P4 o P3... Qk = Pi+i o 
Pi-/ Qr/2 = Pr o Pr-1. Lorsque les polyndmes Pi ont un degre 

25 egal a deux, les polyndmes combines Qk ainsi obtenus ont 
un degre egal a quatre. 

Dans le mode de mise en oeuvre prefere illustre, 
chaque polynome Qk est en outre combine avec une f one t ion 
fk# de preference une fonction lineaire, et le polynome 

30 combine suivant est combine de fagon correspondante avec 
la fonction inverse fk'^/ a 1' exception bien entendu du 
premier et du dernier polynomes combines qui ne sont com- 
bines qu * avec une fonction directe pour I'un et une fonc- 
tion inverse pour 1* autre. 

35 Avant son chargement dans la memoire 3 sous forme 
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d'un fichier de configuration, 1 ' algorithme cryptographic 
que est done reprSsent€ par les fonctions polynomiales fi 

0 Qi, f 2 o Q2 o fi"\.., f k o Qk o fk-i^^, fk+i o Qk+i o fk'^/-../ 

Qr/2 O fr/2-l"^- 

5 Bien entendu, 1* invention n'est pas limitee au 

mode de mise en oeuvre decrit et on peut y apporter des 
variantes de realisation sans sortir du cadre de 1 » inven- 
tion tel que defini par les revendi cat ions . 

En particulier, bien que les rondes initiales 

10 aient ete representees sous forme d'un seul polynome ini-- 
tial par ronde, chaque ronde peut contenir plusieurs po- 
lyndmes initiaux. Les polyn6mes initiaux peuvent done 
etre combines au sein d'une meme ronde ou en corabinant 
plusieurs rondes entre elles. 

15 Bien que le precede ait ete decrit en relation 

avec un dispositif comprenant une unite de trait ement 4 
associee a une memoire 3 destinee a recevoir I'algorithme 
sous forme d'xm fichier de configuration, ce qui permet 
d'effectuer une modification de la configuration sans 

20 avoir a effectuer un retour du dispositif en atelier, on 
peut pr^voir une mise en oeuvre directe de I'algorithme 
dans I'unitg de traitement par une configuration de 

1 'unite de traitement en atelier. Dans ce cas la configu- 
ration ne peut plus §tre modifiee sans un retour en ate- 

25 lier. 

Bien que le procede selon 1' invention ait ete de- 
exit en combinant les polynomes initiaux deux k deux, il 
peut etre necessaire pour certains algorithmes de regrou- 
per les polynomes elementaires selon un nombre superieur 

30 & deux. Par exemple pour I'algorithme d^nomm^ DES dans 
lequel les rondes sont entrelac^es, il est necessaire de 
combiner plus de deux polyn6mes initiaux pour obtenir des 
polynomes combines executables de fagon sGre selon le 
procede decrit ci-dessus. 

35 Bien que 1 ' invention ait ^te decrite avec une 
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Stape conprenant une conibinaison avec une fonction et la 
fonction inverse, on peut prevoir de const ituer le fi- 
chier de configuration simplement k partir des polyndmes 
combines Qk . 

Au lieu d'effectuer la combinaison des differents 
polyn6mes combines Qk avec des fonctions fk differentes 
pour chacun des polynomes combines Qk comme decrit ci- 
dessus, on peut combiner chaque polynome combine avec la 
meme fonction f puis avec la fonction inverse f"^. 
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RE VEND I CAT I ONS 

1. Procede de protection d'un algorithme crypto- 
graphique (6) en vue de son execution dans im dispositif 
(1) comprenant une unite de traitement programmable (4) , 
1 ' algorithme etant decomposable sous forme de polyndmes 
initiaux (Pi) a au moins deux variables et ayant un degre 
au moins egal ^ deux, caracterise en ce que le procede 
comporte les etapes de realiser des polynomes combines 
(Qk) chacun obtenu a partir d'au moins deux polynomes 
initiaux (Pi, Pi^.^) , et de mettre en ceuvre les polynomes 
combings (Qjc) dans I'unitg de traitement programmable 
(4) . 

2. Procede selon la revendication 1, caracterise 
15 en ce qu'il comporte en outre I'etape de m^moriser les 

polynomes combines (Q^) sous forme d'un fichier de confi- 
guration charge dans une memoire (3) associee k 1» unite 
de traitement (4) . 

3. Procede selon la revendication 2, caracterise 
20 en ce que la memoire (3) et 1 'unite de traitement pro- 
grammable (4) sont associes a un organe d'effacement (5) 
provoquant, dans le cas d'une intrusion dans le disposi- 
tif, un effacement de I'unitg de traitement (4), et un 
effacement de la memoire (3) contenant le fichier de con- 

25 figuration lorsque la configuration est presente dans 
cette memoire . 

4. Procede selon la revendication 1, caracterise 
en ce qu'il comporte I'etape de combiner chaque polynome 
combing (Qic) avec une fonction (fk) , et de combiner le po- 

30 lyn6me combine suivant (Qk+i)avec une fonction inverse 
(fk"^) . 

5. Procgde selon la revendication 4, caractSrisg 
en ce que la fonction (fk) combinee & chaque polyn6me 
combine (Qk) est xine fonction lineaire. 



35 



wo 2005/038692 



PCT/FR2004/002579 



1/1 



1 


Pi 


A 




L 




G 


P3 


0 




R 




1 




T 


Pt 


H 
M 


1 

1 


E 


Pr-I 
Pr 


1 



hQ,= P.o p. 



> Qi = P- - o p. 
f • 1+1 "^1 



1 




fk-1 



» O = P o P ^ 



-1 



1 

\ 



donnees 



effacement 



fichier 
configuration 




Unite 
de 

traitement 



7 



T 



T 
4 



t 

donnees 
chiffrees 



FIG.1 



